Информационные системы требуют защиты именно потому, что обрабатываемая информация бывает ценной не зависимо от происхождения. В денежном выражении затраты на защиту не должны превышать возможные потери.
Под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженное в стоимостном, временном либо ином эквиваленте.
Среди подходов к построению моделей защиты ИC, основанных на понятии ценности информации, наиболее известными являются: оценка, анализ и управление рисками ИБ, порядковые шкалы ценностей, модели решетки ценностей [4,6].
Далеко не всегда возможно и нужно давать денежную оценку ценности информации. Например, оценка личной информации, политической информации или военной информации не всегда разумна в денежном исчислении. В этом случае предпочтительнее использовать подход, связанный со сравнением ценности отдельных информационных элементов между собой и введением порядковой шкалы ценностей.
|
|
Пример. При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности. Сами грифы секретности образуют порядковую шкалу, например:
· НЕСЕКРЕТНО
· КОНФИДЕНЦИАЛЬНО
· СЕКРЕТНО
· СОВЕРШЕННО СЕКРЕТНО
· ОСОБОЙ ВАЖНОСТИ.
Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие.
Меры обеспечения безопасности компьютерных систем
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяют на:
- правовые (законодательные);
- морально-этические;
- организационно-административные;
- физические;
- аппаратно-программные.
Остановимся на аппаратно-программных мерах защиты. К ним относятся различные электронные устройства и специальные программы, которые реализуют самостоятельно или в комплексе с другими средствами следующие способы защиты:
- идентификацию и аутентификацию субъектов АСОИ;
- разграничение доступа к ресурсам АСОИ;
- контроль целостности данных;
- обеспечение конфиденциальности данных;
- аудит событий, происходящих в АСОИ;
- резервирование ресурсов и компонентов АСОИ.